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Verfahren zum Generieren einer digitalen Signatur 
5 und Verfahren zur Uberprufung der Signatur 

Die Erfindung betrifft ein Verfahren zum Generieren 
einer digitalen Signatur einer Nachricht mittels 
eines zumindest zwei grofie Primzahlen umfassenden 
geheimen Schlussels, sowie ein Verfahren zur ttber- 
10 prtifung der Signatur. 

Diese Verfahren sind als Public-Key-Signaturverf ah- 
ren aus der Verof f entlichung von Diffie und Hellmann 
(W. Diffie, M. E. Hellmann, "New directions in 
cryptography", IEEE Transactions on Information 

15 Theory, Vol. IT-22, November 1976, Seiten 644-654) 
sowie von Rivest, Shamir und Adleman (R. Rivest, A. 
Shamir und L. Adleman, "A method for obtaining di- 
gital signatures and public-key cryptosystems", Com- 
munications of the ACM, Vol. 27, Nr. 2, Februar 

20 1978, Seiten 120-126, RSA-Verf ahren) bekannt. Sie 
verwenden zwei Schliissel, von denen einer zum Si- 
gnieren einer Nachricht und ein anderer zum Ober- 
prufen dieser Signatur dient. Dabei wird zum Si- 
gnieren ein geheimer nur dem Absender der Nachricht 

25 bekannter Schliissel eingesetzt, wahrend fUr die 
Oberprttfung der Signatur ein 5ffentlicher Schliissel 
verwendet wird. Diese Public-Key-Signaturverf ahren 
werden uberwiegend bei der Datenkoramunikation mit- 
tels elektronischer Medien eingesetzt, wobei die 
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Signatur als Ersatz fur eine Unterschrift dient. 
Mittels des of f entlichen SchlUssels ist es fUr den 
Empfanger der Nachricht moglich, die Echtheit der 
Signatur und damit des ihm ubermittelten Dokuments 
5 zu aberprlifen. Anwendungsbeispiele zu den obenge- 
nannten Signaturverfahren sind in A. Beutelspacher, 
"Kryptologie", Vieweg-Verlag 1994 genauer beschrie- 
ben worden. 

Aus der Patentschrif t DE 195 13 896 Al ist ein Pu- 
10 blic-Key-Signaturverfahren bekannt, bei dem ein Po- 
lynom verwendet wird dessen Koef f izienten aus der zu 
signierenden Nachricht und einer Zufallszahl ge- 
bildet werden. Aus diesem auf diese Weise gebildeten 
Polynom werden zwei weitere Polynome abgeleitet, die 
15 mindestens eine Nullstelle in einem endlichen Korper 
aufweisen mUssen, da diese zur Bildung der Signatur 
verwendet werden. Ist dies nicht der Fall, muB das 
beschriebene Verfahren mit einer anderen Zufallszahl 
wiederholt werden. 

20 Der Erfindung liegt daher die Aufgabe zugrunde, ein 
Signaturverfahren zum Signieren einer Nachricht an- 
zugeben, welches diesen Nachteil nicht aufweist, 
eine vergleichbare Sicherheit und Ausf uhrungsge- 
schwindigkeit wie die bisherigen Verfahren aufweist 

25 und dabei immer die Generierung einer giiltigen Si- 
gnatur erm5glicht . 

Diese Aufgabe wird durch ein Verfahren zum Generie- 
ren einer digitalen Signatur mit den Merkmalen des 
Anspruchs 1 und durch ein Verfahren zur OberprUfung 
30 dieser Signatur mit den Merkmalen des Anspruchs 8 
gelost . 

Signaturverfahren, die Polynome tiber dem Ring der 
Zahlen modulo einer aus mindestens zwei grofien 
Primzahlen bestehenden Zahl n verwenden, sind 
35 bereits aus der Literatur bekannt. Das RSA- 
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Verfahren kann als solches Verfahren aufgefafit 
werden. Wichtige Beispiele sind weiterhin die 
Verfahren, die auf sogenannten Dickson-Polynomen 
basieren. (W. B. MUller, R. Nobauer, Cryptanalysis 

5 of the Dickson-scherae. Proc. Eurocrypt 85, Lecture 
Notes in Computer Science, Vol, 219, 1986, Seiten 
50-61) . Die vorliegende Erfindung geht insoweit 
liber die Arbeiten hinaus, als das Verfahren zur Er- 
zeugung einer Signatur wesentlich allgemeiner ist 

10 und es gestattet, auch andere Klassen von Polynomen 
zu verwenden. 

Die Aufgabe der Erfindung wird nun dadurch gelost, 
dafi eine Nullstelle s des Polynoms P(x) - m mod n 
(oder Equivalent dazu, eine Losung der Gleichung 

15 P(x) = m mod n) berechnet wird. P(x) muft dabei ein 
Permutationspolynom modulo n sein (vergleiche Lidl 
und Niederreiter, Finite Fields, Encyclopaedia of 
Mathematics Vol. 20, Cambridge University Press 
1983) und s stellt die digitale Signatur der 

20 Nachricht m dar. 

Eine gultige Signatur s der Nachricht m ergibt sich 
dadurch, dafi ein Produkt n aus den beiden Primzahlen 
p, q gebildet wird und die digitale Signatur s uber 
die Gleichung 

25 s = b«u*p + a*v*q mod n 

bestimmt wird und ausgehend von der Gleichung 



1 = u«p + v«q 

mittels des erweiterten Euklidischen Algorithmus 
die Werte. u, v und die Werte a, b mittels der Glei- 
30 chung 



ggT(P(x)-m, xP-x) mod p = x-a 
ggT(P(x)-m, x^-x) mod q = x-b 
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berechnet werden und P(x) ein beliebiges Per- 
mutationspolynom ist. 

In einer Weiterbildung der Erfindung ist vorgesehen, 
dafi der geheime Schlussel durch die Zahl (p-1) (q- 
5 1)+1 aus den Primzahlen p und q gebildet wird und 
dafi die digitale Signatur s nach der Gleichung 

ggT(P(x) - m,x((p-l) (q-D+D-x) mod n = x-s 

gebildet wird. Werden fur P(x) Periautationspolynome 
tiber einem endlichen Korper verwendet, so ist der 
10 grofite gemeinsame Teiler, also die Signatur, ein 
Linearfaktor . Es ist gleichermafien moglich, statt 
der oben genannten Zahl (p-1) (q-l)+l deren 
aquivalente Zahl zu verwenden, die sich 
folgendermafien berechnet: 

15 constante*kgV( (p-1) , (q-l))+l 

Eine weitere Ausgestaltung des erf indungsgemafien 
Verfahrens besteht darin, dafi als Permutationspoly- 
nome P(x) verallgemeinerte RSA-Polynome der Form 
rx e + s mod n oder Tschebyschef f-Polynome T e (x) mod 

20 n oder Dickson-Polynome oder aber eine Kombination 
aus diesen Polynomen verwendet wird. Tschebyschef f- 
Polynome werden zum Beispiel in I. Schur, "Arithme- 
tisches Uber die Tschebyschef fschen Polynome", Ge- 
sammelte Abhandlungen, Band III, S. 422-453, Sprin- 

25 ger-Verlag Berlin Heidelberg New York, 1973 behan- 
delt. 

Erf indungsgemafi kann vorgesehen werden, dafi die Art 
der Hintereinanderausftlhrung der Tschebyschef f-, 
verallgemeinerten RSA-, und /oder Dickson-Transfor- 
30 mation in Form eines Vektors als Teil des offentli- 
chen Schlussels gespeichert wird. 



Besonders bevorzugt wird eine Implementierung des 
Verfahrens, bei dem Periautationspolynome der Form 
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rx e + s mod n und ggT (e, (p 2 ~D (q 2 ~D ) = 1 i&it Dick- 
son- Pol ynomen verschachtelt werden. 

Eine weitere vorteilhafte Auspragung der Erfindung 
besteht darin, Permutationspolynome der Form 



zu verwenden, wobei p _1 (x) das inverse Polynom zu 
p(x) ist, p" 1 (x) und p(x) Permutationspolynome mo- 
dulo n sind, ggT (e, (p-1) q-1) )=1 gilt und das Symbol 
"o" die Hintereinanderausftihrung der zugehorigen 
10 Funktion symbolisiert, zum Beispiel A(x) o B(x) = 
A(B(x) ) . 

Weitere vorteilhafte Weiterbildungen der Erfindung 
ergeben sich aus den ubrigen Unteransprtichen. 

Das im Anspruch 1 genannte Public-Key-Signaturver- 
15 fahren beruht auf dem mathematischen Problem, zwei 
grofie Primzahlen zu f aktorisieren. Deshalb werden 
flir den geheimen Schlussel zwei grofie Primzahlen 
benutzt und der offentliche Schlussel aus dem Pro- 
dukt dieser beiden Zahlen gebildet. 

20 Fur das erf indungsgemafie Verfahren ist wesentlich, 
dafi neben den beiden Primzahlen Permutationspolynome 
verwendet werden, die tiber einem Ring Z n definiert 
sind. Ein Permutationspolynom uber. Z n ist ein Poly- 
nom, das als Funktion betrachtet eine Permutation 

25 der Menge { 0, 1, . . . , n-1 } induziert. Einen Oberblick 
uber die Theorie der Permutationspolynome ist in dem 
Buch von Lidl und Niederreiter "Finite Fields", 
Encyclopaedia of Mathematics Vol. 20, Cambridge 
University Press 1983 zu finden. 

30 Ftir das Public-Key-Signaturverf ahren werden also 
fur den geheimen SchlUssel zwei grofie Primzahlen p 
und q verwendet. Der offentliche SchlUssel besteht 



5 



P(x) 



= p" 1 (x) o x e o p(x) mod n 
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aus einem Permutationspolynom P(x) und dem Produkt 
n der Primzahlen p und q. 

Soli nun eine Nachricht m von einem Absender si- 
gniert werden, so wird zunachst mit Hilfe des Eu- 
5 klidischen Algorithmus der grofite gemeinsame Teiler 
der Polynome p(x) = P(x) - m mod p und xP-x liber 
dem endlichen Korper GF(p) gebildet. Da p(x) ein 
Permutationspolynom ist, ergibt sich der grdUte ge- 
meinsame Teiler als Linearfaktor und es gilt 

10 ggt(p(x), xP-x) = x-a 

In gleicher Weise wird der grofite gemeinsame Teiler 
der Polynome p(x) = P(x) - m mod q und xQ-x uber 
dem endlichen Korper GF(q) gebildet. Auch hier ist 
p(x) ein Permutationspolynom, sodati der grofite ge- 
15 meinsame Teiler ein Linearfaktor ist, der folgen- 
dermaften berechnet wird 



Ober den erweiterten Euklidischen Algorithmus wird 
die Beziehung 1 = up + vq berechnet, sodafi sich mit 
20 den ermittelten Werten a und b die Signatur der 
Nachricht m berechnen laflt mit 



Zur Oberpriifung der auf diese' Weise gebildeten Si- 
gnatur beim Empfanger der Nachricht m wird der 6f- 
25 fentliche Schliissel verwendet, der das Permutati- 
onspolynom P(x) und das Produkt n der Primzahlen p, 
q umfafit. Dazu wird das Polynom P(x)-m mod n an der 
Stelle s ausgewertet, so daft falls die Gleichung 



ggt (p(x) , xS-x) = x-b 



s = b«u«p + a»v»q 



P ( s ) -m mod n 



= 0 



30 erfUllt ist, die Gultigkeit der Signatur s bestatigt 
wird. 
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Nachfolgend wird das erf indungsgemafie Verfahren zur 
Signatur einer Nachricht und zur Oberprufung dieser 
Signatur anhand eines Zahlenbeispiels naher erlau- 
tert, wobei der Obersichtlichkeit halber die Zah- 
5 lenwerte sehr klein gewahlt wurden. Als geheimer 
SchlUssel werden die Primzahlen p=1237 und q=5683 
gewahlt, so dafi das Produkt n = p#q = 7029871 ergibt. 
Der offentliche Schllissel ist durch das Polynom P 
(x) = 2345678x 5 + 3456789 mod n und das Produkt n 
10 gegeben. Es soli die Nachricht m 

1234567 signiert werden. Mit dem Produkt n ergibt 
sich das Polynom P(x) zu 

P(x)-m = 2345678x 5 + 2222222 

Daran anschliefiend werden die beiden Polynome 

15 p(x) = P(x)-m mod p = 326x 5 + 570 und 

q(x) = P(x)-m mod q = 4282x 5 +169 

gebildet. Danach konnen die grofiten gemeinsamen 
Teiler der Polynome p(x) beziehungsweise q(x) mit 
den Polynomen xP-x beziehungsweise x^-x berechnet 
20 werden: 

x-a = ggT(326x 5 + 570, x 1237 -x) mod p = x + 211 

x-b = ggT(4282x 5 + 169, x 5683 -x) mod q = x + 864 

Dadurch ergeben sich die Werte ftir a = 1026 und b = 
4819. 

25 Aus dem erweiterten Euklidischen Algorithmus ergibt 
sich mit der Beziehung 1 = up + vq die Darstellung 

-2683«p + 584»q = 1 
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wobei u = -2683 und v = 584 ist (vergleiche E. R. 
Berkkamp, Algebraic Coding Theory, Aegean Park 
Press, 1984, S. 21-24) . 

Mit diesen Werten kann nun die Signatur s berechnet 
5 werden: 



Ist die zu signierende Nachricht m grofier als das 
Produkt n, so wird die Nachricht in Blocke aufge- 
spalten die einzeln signiert werden, oder es wird 
10 ein sogenannter Hashwert der Nachricht m signiert. 

Zur Oberprufung dieser Signatur kann der offentliche 
Schlussel verwendet werden, der aus dem Polynom P(x) 
und dem Produkt n gebildet wird. Zur Oberprufung der 
Signatur muJi die Gleichung 

15 P (s) - m mod n = 0 

erfullt sein. Mit den Zahlenwerten ergibt sich, dafl 
s eine gultige Signatur der Nachricht m ist. 

Selbstverstandlich ist es auch moglich, mehr als 
zwei Primzahlen als geheimen Schlussel zu 
20 verwenden, wobei das erlauterte Verfahren dann 
analog auszufiihren ist. 



s = -2683«p«b+584«q*a mod n = 2022284. 
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Anspriiche 

1. Verfahren zum Generieren einer digitalen Signatur 
10 s einer Nachricht m mittels eines zumindest zwei 

grofle Primzahlen p, q umfassenden geheimen 
Schltissels, dadurch gekennzeichnet, daft s die 
Nullstelle des Polynoms P(x)-m modulo n ist, wobei 
P(x) ein beliebiges Permutationspolynom modulo n 
15 ist. 

2. Verfahren nach Anspruch 1, dadurch 
gekennzeichnet, 

- daJi ein Produkt n aus den Primzahlen p, q gebildet 
wird, 

20 - daJJ die Signatur s mit 

s = b»u»p + a*v«q mod n 
erzeugt wird, wobei ausgehend von der Gleichung 

1 = u*p + v#q 

mittels des erweiterten Euklidischen Algorithmus die 
25 Werte u, v und die Werte a, . b mittels der Glei 
chung 




WO 98/34373 



PCT/EP98/00303 



ggT(P(x) 
ggT (P(x) 



•m, xP-x) mod p = x-a 
■m, x^-x) mod q = x-b 



berechnet werden. 

3. Verfahren nach Anspruch 1 oder 2, dadurch 
5 gekennzeichnet, daB der geheime Schlttssel die Zahl 
(p-1) (q-1) + 1 Oder eine aquivalente Zahl ist und 
die digitale Signatur s nach der Gleichung 

ggT(P(x)-m, x < (P" 1 ) ( c l" 1 ^ +1 ) - x) mod n = x - s 

berechnet wird. 

10 4. Verfahren nach einem der vorhergehenden Ansprii- 
che, dadurch gekennzeichnet, dafi als Permutations- 
polynome Polynome der Form r*x e +s mod n (verallge- 
meinerte RSA- Polynome) verwendet werden. 

5. Verfahren nach einem der vorhergehenden Anspru- 
15 che, dadurch gekennzeichnet, dafi als Permutations- 

polynome Tschebyschef f-Polynome T e (x) mod n verwen- 
det werden. 

6. Verfahren nach einem der vorhergehenden Ansprii- 
che, dadurch gekennzeichnet, daii als Permutations- 

20 polynome Dickson-Polynome verwendet werden. 

7. Verfahren nach einem der vorhergehenden Ansprii- 
che, dadurch gekennzeichnet, daft als Permutations- 
polynome beliebige durch Kombinationen der Tsche- 
byschef f-Polynome, der Dickson-Polynome und der Po- 

25 lynome der Form r#x e + s erhaltene Polynome verwendet 
werden. 
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8. Verfahren nach einem der vorhergehenden Anspru- 
che, dadurch gekennzeichnet, daJJ die Art der Hin- 
tereinanderausfuhrung der Tschebyschef f-, verallge- 
meinerten RSA-, und/oder Dickson-Transformationen in 
Form eines Vektors als Teil des of fent lichen 
Schlussels gespeichert werden. 

9. Verfahren zur Oberprufung einer digitalen Signa- 
tur, die gemaJi einem Verfahren nach einem der An- 
spruche 1 bis 8 gebildet ist, dadurch gekennzeich- 
net, daft ein offentlicher Schlussel zur Oberprufung 
der digitalen Signatur s das Produkt n und ein be- 
liebiges Permutationspolynom P(x) mod n aufweist und 
dali die digitale Signatur s einer Nachricht m dann 
gtiltig ist, wenn die Gleichung 



P ( s ) -m mod n 



= 0 



erfullt ist- 
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